Fleet — это программное обеспечение для управления устройствами с открытым исходным кодом. В версиях до 4.80.1 уязвимость в обработке Android MDM Pub/Sub компании Fleet могла позволить неаутентифицированным запросам инициировать события отмены регистрации устройства. Это может привести к несанкционированному удалению отдельных устройств Android из системы управления автопарком.
Если Android MDM включен, злоумышленник может отправить созданный запрос на конечную точку Android Pub/Sub, чтобы отменить регистрацию целевого устройства Android из парка без аутентификации. Эта проблема не предоставляет доступ к Fleet, не позволяет выполнять команды или не обеспечивает видимость данных устройства. Воздействие ограничивается нарушением управления устройствами Android на затронутом устройстве.
Версия 4.80.1 устраняет проблему. Если немедленное обновление невозможно, затронутым пользователям Fleet следует временно отключить Android MDM.
Показать оригинальное описание (EN)
Fleet is open source device management software. In versions prior to 4.80.1, a vulnerability in Fleet’s Android MDM Pub/Sub handling could allow unauthenticated requests to trigger device unenrollment events. This may result in unauthorized removal of individual Android devices from Fleet management. If Android MDM is enabled, an attacker could send a crafted request to the Android Pub/Sub endpoint to unenroll a targeted Android device from Fleet without authentication. This issue does not grant access to Fleet, allow execution of commands, or provide visibility into device data. Impact is limited to disruption of Android device management for the affected device. Version 4.80.1 fixes the issue. If an immediate upgrade is not possible, affected Fleet users should temporarily disable Android MDM.
Характеристики атаки
Последствия
Строка CVSS v4.0